Среди наших клиентов десятки торговых сетей. Все делятся схожими историями: там сотрудники своровали, тут обманули, а где-то слили секреты конкурентам. Возьмем самые типовые сценарии с примерами и посмотрим, как с этими проблемами борются на практике.
1. И все-таки воровство
Проблема банальная, но достигает чудовищных масштабов. Только по официальным данным, сотрудники виноваты в половине случаев краж в торговых сетях. По неофициальным оценкам, которые звучат на профильных конференциях, в магазинах самообслуживания до 80% воровства совершает персонал. Сотрудники знают, где бреши в безопасности компании: где нет камер, с кем из персонала можно договориться «по дружбе» и что «плохо лежит». Факты краж обычно всплывают быстро. Сложнее установить виновного или виновных, если сотрудники действовали сообща и успели наладить схему.
Так случилось в одной сети гипермаркетов. Со склада пропала дорогая техника, причем не пара единиц, а сразу четверть партии. В первую очередь заподозрили охранника. Но служба безопасности решила проверить, не было ли у него сообщников. Обстоятельства устанавливали, изучая всю доступную информацию, — со СКУД (система контроля и управления доступом), камер видеонаблюдения, с компьютеров. Пособники действительно нашлись: это были начальник склада и один из руководителей головного офиса, который и организовал схему. Отвечать участникам сговора пришлось по всей строгости: только возмещение убытков обошлось им в 1 млн рублей.
Главное в деле защиты от воровства, как ни крути, применение мер физической безопасности: противокражных систем, СКУДов, видеонаблюдения и даже личных досмотров. Радиочастотные RFI-метки, которые прикрепляют на товары, можно разместить и на самом ценном имуществе компании, чтобы его не смогли вынести, даже хорошо спрятав. В больших торговых залах может применяться разметка зон, куда сотрудникам без доступа просто запрещено заходить.
Когда есть сговор, чаще всего есть и «цифровой» след преступления — переговоры в мессенджерах. Если компьютеры под контролем систем защиты информации (DLP-системы), служба безопасности получает сигнал о переписках на тему воровства, даже если они ведутся на сленге.
2. Откаты и взятки
С внутренней коррупцией сталкиваются 27% российских ретейлеров (об этом мы уже подробно рассказывали здесь). В рознице для взяточников почва благодатная. Чаще всего мзду берут за удачное размещение на полках. Откаты — еще один бич ретейла. В зоне риска — менеджеры отдела снабжения и бухгалтеры, вместе они провоцируют 53% инцидентов безопасности.
Типичный случай. Сотрудник отдела снабжения получил на личную почту прайс-лист от поставщика. Следом такое же письмо пришло на его корпоративный ящик, но цены на некоторые товары были выше на 30%. Служба безопасности подняла его переписку с поставщиком и выяснила, что снабженец сам рекомендовал заложить наценку на некоторые позиции. Представители компании обратились к контрагенту с претензией. Доказательства сговора были налицо, так что поставщик не стал препираться. Чтобы сохранить добрые отношения, он предложил компании VIP-условия. А махинатора из отдела снабжения, который хотел заработать на сделке, уволили.
Создайте распределенную схему для процедуры закупки. Если этапы оформления сделки закреплены за разными исполнителями, у отдельных сотрудников будет меньше шансов повлиять на ее исход — им станет не за что брать откаты. Конечно, даже в этой ситуации не исключен сговор. Эти факты придется отслеживать, взяв под контроль основные каналы переговоров (почту, мессенджеры, телефонию). Хорошо работает выборочная проверка счетов, которую, как правило, делает сотрудник службы безопасности.
Кроме того, нужны строгие регламенты переговоров с контрагентами: все общение с поставщиками — только по корпоративной телефонии под запись, переписка — в рабочей почте, встречи — на территории компании. Если нет никаких проблем для комфортного общения, а сотрудник все равно использует личную почту для приема коммерческого предложения или назначает встречу на неурочное время, это будет сигналом для СБ присмотреться к нему внимательнее.
Другим значимым сигналом могут быть и поисковые запросы о товарах и услугах, которые сотруднику точно не по карману. Похвально стремление больше зарабатывать и комфортнее жить. Но такой интерес иногда говорит о том, что человеку «жжет карман» побочный доход, который так и хочется потратить на что-то статусное.
3. Боковые схемы
Раскрыть так называемые боковые схемы в 2018 году удалось 5% торговых предприятий. И даже в небольших объемах подобные инциденты способны навредить компании и принести значительные убытки. Чаще всего мошенники действуют просто: перепродают ворованный товар, остатки или неликвид.
Вот пример: сотрудник сети по продаже алкоголя в рамках должностных обязанностей занимался списанием и утилизацией просроченной продукции. Его работа не вызывала нареканий. Внимание привлекало то, что он часто посещал сайт одного и того же онлайн-алкомаркета. Служба безопасности решила к нему присмотреться. Провели расследование, и выяснилось, что сотрудник сбывал туда всю «просрочку», к которой имел доступ. И неплохо зарабатывал.
Главные методы работы с этими рисками тоже лежат в поле административных и контрольных мер. Про контрольные говорили выше — сотрудник работает за компьютером, любое передвижение информации и коммуникации можно анализировать.
Что касается регламентов. Чтобы даже непригодные к продаже товары не попали не в те руки, создайте четкую систему оформления, списания и утилизации. Есть неплохая практика, когда для этих целей выделяют ответственных ревизоров, по одному на несколько магазинов сети. Списывать неликвид можно только в их присутствии, причем обязательно под камерой и с составлением акта за подписью всех участников процесса, директора магазина и ревизора. Если таких сложных схем нет, хотя бы перепроверяйте документы: действительно ли неликвид отдали на вывоз подрядчику или вернули поставщику. Вышеупомянутый софт для контроля действий за компьютером зафиксирует, если документ был подделан или в него вносились правки.
Если в сети предусмотрены бонусы и скидки на собственную продукцию для сотрудников, нужно установить ограничения на объемы таких покупок. В некоторых компаниях решают вопрос радикально — прописывают в трудовых договорах запрет на любую коммерческую деятельность кроме основной работы.
Боковой приработок хорошо обнаруживается с помощью анализа производительности сотрудников. Данные из специализированного ПО об аномальной продуктивности и эффективности могут стать подсказкой. Наши клиенты не раз обнаруживали «боковики», присматриваясь, чем перегружены сотрудники, которые остаются работать сверхурочно.
4. Утечка информации
В ретейле полно чувствительных данных, которыми не прочь поделиться инсайдеры. В итоге розница в лидерах по числу утечек, опережая другие отрасли российского бизнеса на 20%.
Сотрудники «сливают» информацию о клиентах, партнерах, их персональные данные, условия спецпредложений и акций, детали «внутренней кухни». Все это дает фору конкурентам. Отдельная история — тендерная документация. Контроль тендерных и закупочных отделов — это одна из первых задач, которую ставят перед нами клиенты. Но бывают и куда более специфичные кейсы.
Сотрудник небольшой компании по продаже сельхозтехники рассказал недавно вышедшим на рынок конкурентам, что на складах осталось мало товара и вскоре предстоит закупка. В результате к единственному в регионе поставщику конкурент успел первым и забронировал всю партию дефицитной линейки. Так новичок планировал переманить покупателей, а в перспективе совсем вытеснить конкурента. Компанию спасли хорошие отношения с поставщиком — увидев две заявки на партию, он предпочел отдать товар проверенным партнерам. Сотруднику, который помогал конкурентам «адаптироваться» на новом рынке, пришлось искать новую работу.
Первым делом нужно провести аудит, какая информация в компании в принципе является критичной. Если в компании еще не действует режим коммерческой тайны, вводите. Сотрудники должны быть в курсе, что информация в компании защищена, что к ним применяются методы контроля, — все это закрепляется в трудовом договоре и соглашении о неразглашении.
Доступ к информации должен быть ограничен. Например, на этапе подготовки к тендеру должно быть запрещено обращаться к документации и сетевым папкам всем, кто этой задачей не занимается. Разграничить права можно и в Active Directory, хотя это не избавляет от риска, когда сам привилегированный сотрудник «расшарит» конфиденциальный документ. Для решения таких задач нужно более серьезное ПО, которое проводит аудит файловой системы.
Вместо вывода
Причина, почему в отрасли так много нарушений, банальна — здесь работает много людей. В 2017 году, по данным Росстата, в торговле было занято 19,3% россиян. Большая плотность кадров при высокой текучке повышает вероятность получить множество разных инцидентов. На каждый тип нарушений у ретейлеров есть ответ в виде инструментов — от жестких административных регламентов до методов физического и ИБ-контроля. Каждый в отдельности не спасет, а вот комбинация даст если не полное избавление, то хотя бы максимальное снижение числа инцидентов.